- Форум
- /
- IT и телекоммуникации
- /
- Конфигурация сетевого оборудования
- /
- Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsoft NPS (RADIUS)
Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsoft NPS (RADIUS)
Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.
Меньше
Больше
- Сообщений: 50
- Спасибо получено: 15
7 года 1 мес. назад - 7 года 1 нед. назад #215
от PNV
PNV создал тему: Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsoft NPS (RADIUS)
Статья в процессе написания...
В данной статье описано создание единой универсальной беспроводной сети в рамках ЛВС предприятия (головной офис + филиалы), с применением контроллера Cisco WLC 2504 и точек доступа Cisco CAP2602i (Controller Based Access Point),с использованием технологий Flex Connect и Dynamic VLAN Assignment (динамическое присвоение VLAN'ов в соответствии с политиками доступа RADIUS-сервера). В качестве RADIUS-сервера выступает сервер Microsoft NPS (Network Policy Server).
Внутрикорпоративные клиенты (доменные компьютеры), которые будут подключаться к сети Universal, будут аутентифицироваться по машинным сертификатам, распространяемыми доменной политикой и соответственно попадать в свой VLAN. А внешние пользователи (гости) - при помощи гостевой доменной учетной записи (по логину и праролю), и будут попадать в свой VLAN. Устройства не поддерживающие 802.1х аутентификацию, будут подключаться к сети WEPPSK со своим VLAN.
Сначала немного о технологии FlexConnect (до настоящего времени, данная технология была известна как H-REAP Hybrid Remote Edge Access Point).
Данная технология позволяет конфигурировать и управлять точками доступа в филиале или удаленном офисе из головного офиса через глобальную сеть (WAN + VPN) без развертывания контроллера в каждом офисе. В режиме FlexConnect точки доступа могут маршрутизировать трафик локально (в локальной сети удаленного офиса – local switching) без установки CAPWAP-туннеля с контроллером, и выполнять локально проверку подлинности клиента напрямую с точки доступа, либо с локального RADIUS-сервера филиала, когда связь с головным офисом и соответственно с контроллером - потеряна. Когда же контроллер доступен, то FlexConnect точки могут маршрутизировать трафик и аутентифицировать клиентов через контроллер (как и в обычном режиме Local с CAPWAP-туннелем – Central Switching).
FlexConnect-точка доступа может поддерживать три режима работы:
- central authentication, central switching – аутентификация и весь клиентский трафик проходят через контроллер;
- central authentication, local switching - аутентификация проходит на контроллере, а клиентский трафик маршрутизируется удаленно на самой точке доступа, без дополнительной нагрузки на канал между офисами;
- local authentication, local switching – аутентификация и маршрутизация полностью автономная, без использования контроллера.
В данной статье мы рассмотрим две наиболее встречающиеся ситуации:
1. Небольшой удаленный офис, без серверной инфраструктуры, интернет раздается через локальный маршрутизатор (чтобы не гонять wifi интернет-трафик через VPN). Точка доступа FlexConnect для WLAN c SSID:Universal будет работать в режиме central authentication, local switching, при котором точка доступа будет аутентифицировать клиентов в WLAN с SSID: Universal через контроллер и RADIUS-сервер головного офиса (контроллер будет выступать в качестве клиента для RADIUS-сервера), для применения политик Universal сети и динамического присвоения VLAN (Dynamic VLAN Assignment), но трафик будет маршрутизироваться на самой точке доступа без использования контроллера (чтобы избежать дополнительной нагрузки на канал между офисами). А для WLAN с SSID: WEPPSK (для устаревших wifi устройств, без поддержки wpa), точка будет работать в полностью автономном режиме (local authentication, local switching).
В случае падения канала между данным офисом и головным офисом, клиенты подключенные до падения к обеим WLAN (Universal и WEPPSK) продолжают также работать. Но новые клиенты уже не смогут подключиться к сети Universal, в отличии от сети WEPPSK;
2. Удалённый филиал с серверной инфраструктурой (имеется локальный контроллер домена и RADIUS-сервер). Точка доступа FlexConnect для WLAN c SSID:Universal будет работать в режиме central authentication, local switching, при котором точка доступа будет аутентифицировать клиентов в WLAN с SSID: Universal на локальном RADIUS-сервере филиала (т.е. будет выступать непосредственно в качестве клиента для локального RADIUS-сервера филиала), для применения политик Universal сети и динамического присвоения VLAN (Dynamic VLAN Assignment), трафик будет маршрутизироваться на самой точке доступа без использования контроллера (чтобы избежать дополнительной нагрузки на канал между офисами). А для WLAN с SSID: WEPPSK – аналогично первому случаю.
В случае падения канала между данным филиалом и головным офисом, клиенты обеих WLAN будут продолжать работать и аутентифицироваться также как и до падения канала.
Теперь о технологии Dynamic VLAN Assignment.
Данная технология позволяет динамически распределять подключаемых к сети клиентов в ту или иную подсеть (VLAN), взависимости от политик созданных на сервере RADIUS. Т.е. по сути это одна из возможностей протокола RADIUS. Также о Dynamic VLAN Assignment можно прочитать в другой статье.
Далее приступим непосредственно к настройкам самого контроллера.
Сначала сделаем общие настройки, касаемо обоих режимов работы точек (LOCAL и FlexConnect):
Следующие настройки будут относиться только к точкам доступа, работающим в режиме LOCAL, которые расположены в головном офисе вместе с контроллером.
Далее переходим к настройкам точек доступа работающих в режиме FlexConnect.
Дальше следуют описания настройки серверов и доменных политик
1. Создадим доменную политику распространения машинных сертификатов.
Предполагается, что в компании уже имеется свой сервер сертификатов (Certification Authority Server), посредством которого, будут распространяться сертификаты.
Запускаем оснастку "Редактора управления групповыми политиками" (gpmc.msc)
Открываем "Параметры автоматического запроса сертификатов" и нажимаем "Создать автоматический запрос сертификатов", выбираем шаблон "Компьютер" и нажимаем Далее. Таким образом, после обновления политики на доменных компьютерах, им автоматически будет выпущен машинный сертификат. Для немедленного обновления политик, на компьютере можно запустить команду gpupdate /force
Для проверки наличия выданного сертификата, на любом из доменных компьютеров можно открыть в mmc-консоли оснастку Сертификаты (Локальный компьютер), в которой должен быть показан сертификат, выданный Центром сертификации вашего домена.
2. Создадим политику автоматического подключения к сети Universal по машинному сертификату компьютера.
Т.е. при помощи политики, на доменных компьютерах автоматически создается беспроводное сетевое подключение с предопределенными параметрами.
В данной статье описано создание единой универсальной беспроводной сети в рамках ЛВС предприятия (головной офис + филиалы), с применением контроллера Cisco WLC 2504 и точек доступа Cisco CAP2602i (Controller Based Access Point),с использованием технологий Flex Connect и Dynamic VLAN Assignment (динамическое присвоение VLAN'ов в соответствии с политиками доступа RADIUS-сервера). В качестве RADIUS-сервера выступает сервер Microsoft NPS (Network Policy Server).
Внутрикорпоративные клиенты (доменные компьютеры), которые будут подключаться к сети Universal, будут аутентифицироваться по машинным сертификатам, распространяемыми доменной политикой и соответственно попадать в свой VLAN. А внешние пользователи (гости) - при помощи гостевой доменной учетной записи (по логину и праролю), и будут попадать в свой VLAN. Устройства не поддерживающие 802.1х аутентификацию, будут подключаться к сети WEPPSK со своим VLAN.
Сначала немного о технологии FlexConnect (до настоящего времени, данная технология была известна как H-REAP Hybrid Remote Edge Access Point).
Данная технология позволяет конфигурировать и управлять точками доступа в филиале или удаленном офисе из головного офиса через глобальную сеть (WAN + VPN) без развертывания контроллера в каждом офисе. В режиме FlexConnect точки доступа могут маршрутизировать трафик локально (в локальной сети удаленного офиса – local switching) без установки CAPWAP-туннеля с контроллером, и выполнять локально проверку подлинности клиента напрямую с точки доступа, либо с локального RADIUS-сервера филиала, когда связь с головным офисом и соответственно с контроллером - потеряна. Когда же контроллер доступен, то FlexConnect точки могут маршрутизировать трафик и аутентифицировать клиентов через контроллер (как и в обычном режиме Local с CAPWAP-туннелем – Central Switching).
FlexConnect-точка доступа может поддерживать три режима работы:
- central authentication, central switching – аутентификация и весь клиентский трафик проходят через контроллер;
- central authentication, local switching - аутентификация проходит на контроллере, а клиентский трафик маршрутизируется удаленно на самой точке доступа, без дополнительной нагрузки на канал между офисами;
- local authentication, local switching – аутентификация и маршрутизация полностью автономная, без использования контроллера.
В данной статье мы рассмотрим две наиболее встречающиеся ситуации:
1. Небольшой удаленный офис, без серверной инфраструктуры, интернет раздается через локальный маршрутизатор (чтобы не гонять wifi интернет-трафик через VPN). Точка доступа FlexConnect для WLAN c SSID:Universal будет работать в режиме central authentication, local switching, при котором точка доступа будет аутентифицировать клиентов в WLAN с SSID: Universal через контроллер и RADIUS-сервер головного офиса (контроллер будет выступать в качестве клиента для RADIUS-сервера), для применения политик Universal сети и динамического присвоения VLAN (Dynamic VLAN Assignment), но трафик будет маршрутизироваться на самой точке доступа без использования контроллера (чтобы избежать дополнительной нагрузки на канал между офисами). А для WLAN с SSID: WEPPSK (для устаревших wifi устройств, без поддержки wpa), точка будет работать в полностью автономном режиме (local authentication, local switching).
В случае падения канала между данным офисом и головным офисом, клиенты подключенные до падения к обеим WLAN (Universal и WEPPSK) продолжают также работать. Но новые клиенты уже не смогут подключиться к сети Universal, в отличии от сети WEPPSK;
2. Удалённый филиал с серверной инфраструктурой (имеется локальный контроллер домена и RADIUS-сервер). Точка доступа FlexConnect для WLAN c SSID:Universal будет работать в режиме central authentication, local switching, при котором точка доступа будет аутентифицировать клиентов в WLAN с SSID: Universal на локальном RADIUS-сервере филиала (т.е. будет выступать непосредственно в качестве клиента для локального RADIUS-сервера филиала), для применения политик Universal сети и динамического присвоения VLAN (Dynamic VLAN Assignment), трафик будет маршрутизироваться на самой точке доступа без использования контроллера (чтобы избежать дополнительной нагрузки на канал между офисами). А для WLAN с SSID: WEPPSK – аналогично первому случаю.
В случае падения канала между данным филиалом и головным офисом, клиенты обеих WLAN будут продолжать работать и аутентифицироваться также как и до падения канала.
Теперь о технологии Dynamic VLAN Assignment.
Данная технология позволяет динамически распределять подключаемых к сети клиентов в ту или иную подсеть (VLAN), взависимости от политик созданных на сервере RADIUS. Т.е. по сути это одна из возможностей протокола RADIUS. Также о Dynamic VLAN Assignment можно прочитать в другой статье.
Далее приступим непосредственно к настройкам самого контроллера.
Сначала сделаем общие настройки, касаемо обоих режимов работы точек (LOCAL и FlexConnect):
ВНИМАНИЕ: Спойлер!
Зададим сервер аутентификации RADIUS:
Он же Accounting сервер:
Теперь создадим сеть Universal:
Для сети Universal указываем тип шифрования WPA2 AES и метод аутентификации 802.1Х:
Аутентификация на L3 не используется:
Задаем RADIUS-сервер:
Во вкладке Advanced задаем следующие параметры:
Аllow AAA Override – позволяет группам FlexConnect и отдельным группам точек задавать свои правила AAA, вне зависимости от того, что прописано в данном WLAN;
DHCP Addr.Assignment – отмечаем, чтобы клиенты не могли вручную задавать IP-адреса, а получали только по DHCP;
FlexConnect Local Switching – задаем возможность локальной коммутации для FlexConnect-точек, т.е. трафик будет маршрутизироваться на самой точке доступа без использования контроллера;
Далее создаем сеть WEPPSK:
Для сети WEPPSK тип аутентификации и шифрования – WEP.
На вкладке AAA Servers ничего не указываем;
Остальные вкладки аналогично сети Universal.
Таким образом у нас создано две сети:
Он же Accounting сервер:
Теперь создадим сеть Universal:
Для сети Universal указываем тип шифрования WPA2 AES и метод аутентификации 802.1Х:
Аутентификация на L3 не используется:
Задаем RADIUS-сервер:
Во вкладке Advanced задаем следующие параметры:
Аllow AAA Override – позволяет группам FlexConnect и отдельным группам точек задавать свои правила AAA, вне зависимости от того, что прописано в данном WLAN;
DHCP Addr.Assignment – отмечаем, чтобы клиенты не могли вручную задавать IP-адреса, а получали только по DHCP;
FlexConnect Local Switching – задаем возможность локальной коммутации для FlexConnect-точек, т.е. трафик будет маршрутизироваться на самой точке доступа без использования контроллера;
Далее создаем сеть WEPPSK:
Для сети WEPPSK тип аутентификации и шифрования – WEP.
На вкладке AAA Servers ничего не указываем;
Остальные вкладки аналогично сети Universal.
Таким образом у нас создано две сети:
Следующие настройки будут относиться только к точкам доступа, работающим в режиме LOCAL, которые расположены в головном офисе вместе с контроллером.
ВНИМАНИЕ: Спойлер!
Создаем интерфейсы LAN, Internet и WEP12 для точек работающих в режиме LOCAL (для головного офиса) c соответствующими виланами 10, 11 и 12:
х.х.х.6 – адрес контроллера в каждом из виланов.
Далее создаем группу интерфейсов c названием hq, в которую помещаем ранее созданные интерфейсы LAN, Internet и WEP12:
Теперь возвращаемся во вкладку WLANs и создаем группу точек для HQ, которые работают в режиме LOCAL. В данной вкладке создаются группы только для точек работающих в режиме LOCAL:
И добавляем в эту группу WLANы, присваивая им соответствующие заранее созданные интерфейсы (VLANы), либо группы интерфейсов. В данном случае для Universal сети присваивается группа интерфейсов (hq), т.к. при аутентификации на RADIUS-сервере клиент попадает в тот или иной вилан, в зависимости от его учетной записи или сертификата. А для сети WEPSPK присваивается только один интерфейс (wep12), т.к. сеть с локальной аутентификацией и без dynamic vlan assignment:
Во вкладке APs добавляем в данную группу точки доступа, которые расположены в головном офисе.
На этом настройки касаемо точек доступа LOCAL завершены.
х.х.х.6 – адрес контроллера в каждом из виланов.
Далее создаем группу интерфейсов c названием hq, в которую помещаем ранее созданные интерфейсы LAN, Internet и WEP12:
Теперь возвращаемся во вкладку WLANs и создаем группу точек для HQ, которые работают в режиме LOCAL. В данной вкладке создаются группы только для точек работающих в режиме LOCAL:
И добавляем в эту группу WLANы, присваивая им соответствующие заранее созданные интерфейсы (VLANы), либо группы интерфейсов. В данном случае для Universal сети присваивается группа интерфейсов (hq), т.к. при аутентификации на RADIUS-сервере клиент попадает в тот или иной вилан, в зависимости от его учетной записи или сертификата. А для сети WEPSPK присваивается только один интерфейс (wep12), т.к. сеть с локальной аутентификацией и без dynamic vlan assignment:
Во вкладке APs добавляем в данную группу точки доступа, которые расположены в головном офисе.
На этом настройки касаемо точек доступа LOCAL завершены.
Далее переходим к настройкам точек доступа работающих в режиме FlexConnect.
ВНИМАНИЕ: Спойлер!
Создаем FlexConnect Groups. Так как в каждом из удаленных офисов у нас разные виланы для беспроводных сетей, то создаем для каждого офиса свою FlexConnect группу: Branch Office 1 и Branch Office 2.
Далее в каждой из групп добавляем соответствующие виланы, которые используются в данном офисе. При этом для Universal сети виланы добавляются во вкладке ACL Mapping -> AAA VLAN-ACL mapping, с динамической привязкой. А для сети weppsk – во вкладке WLAN VLAN mapping, статическая привязка. Так для офиса 1 будут добавлены виланы 31 и 32 для сети Universal, а для сети weppsk – вилан 33:
По аналогии - для офиса 2, с виланами 10, 11 и 22:
На вкладке General добавляем точки, расположенные в данном офисе, которые будут входить в данную группу.
Далее в каждой из групп добавляем соответствующие виланы, которые используются в данном офисе. При этом для Universal сети виланы добавляются во вкладке ACL Mapping -> AAA VLAN-ACL mapping, с динамической привязкой. А для сети weppsk – во вкладке WLAN VLAN mapping, статическая привязка. Так для офиса 1 будут добавлены виланы 31 и 32 для сети Universal, а для сети weppsk – вилан 33:
По аналогии - для офиса 2, с виланами 10, 11 и 22:
На вкладке General добавляем точки, расположенные в данном офисе, которые будут входить в данную группу.
Дальше следуют описания настройки серверов и доменных политик
1. Создадим доменную политику распространения машинных сертификатов.
Предполагается, что в компании уже имеется свой сервер сертификатов (Certification Authority Server), посредством которого, будут распространяться сертификаты.
ВНИМАНИЕ: Спойлер!
Запускаем оснастку "Редактора управления групповыми политиками" (gpmc.msc)
Открываем "Параметры автоматического запроса сертификатов" и нажимаем "Создать автоматический запрос сертификатов", выбираем шаблон "Компьютер" и нажимаем Далее. Таким образом, после обновления политики на доменных компьютерах, им автоматически будет выпущен машинный сертификат. Для немедленного обновления политик, на компьютере можно запустить команду gpupdate /force
Для проверки наличия выданного сертификата, на любом из доменных компьютеров можно открыть в mmc-консоли оснастку Сертификаты (Локальный компьютер), в которой должен быть показан сертификат, выданный Центром сертификации вашего домена.
2. Создадим политику автоматического подключения к сети Universal по машинному сертификату компьютера.
Т.е. при помощи политики, на доменных компьютерах автоматически создается беспроводное сетевое подключение с предопределенными параметрами.
Последнее редактирование: 7 года 1 нед. назад пользователем PNV.
Спасибо сказали: doc_fbi
Пожалуйста Войти , чтобы присоединиться к беседе.
4 года 7 мес. назад #254
от doc_fbi
doc_fbi ответил в теме Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsoft NPS (RADIUS)
спасибо за статью, очень помогла
но обнаружилась трабла которую никак не могу победить
при коннекте с динамическим виланом
очень часто с первого раза не ходит трафик (даже DHCP) не получает
на контроллере появляться авторизованное соедините в нужном валине и нужным маком, а вот на ethernet порту этого мака нет. И адаптер ноутбука пишет, что отправленных пакетов "0"
для того чтобы соединение прошло надо несколько раз переподчинить к сети.
не знаете с чем может быть связанно?
но обнаружилась трабла которую никак не могу победить
при коннекте с динамическим виланом
очень часто с первого раза не ходит трафик (даже DHCP) не получает
на контроллере появляться авторизованное соедините в нужном валине и нужным маком, а вот на ethernet порту этого мака нет. И адаптер ноутбука пишет, что отправленных пакетов "0"
для того чтобы соединение прошло надо несколько раз переподчинить к сети.
не знаете с чем может быть связанно?
Пожалуйста Войти , чтобы присоединиться к беседе.
Меньше
Больше
- Сообщений: 50
- Спасибо получено: 15
4 года 7 мес. назад #255
от PNV
PNV ответил в теме Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsoft NPS (RADIUS)
Возможно забыли создать нужный VLAN на коммутаторе, либо на точке VLANы не подмапированы. А так по хорошему нужна схема подключения , чтобы точно понять в чем дело.
Пожалуйста Войти , чтобы присоединиться к беседе.
4 года 7 мес. назад #256
от doc_fbi
doc_fbi ответил в теме Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsoft NPS (RADIUS)
все это сделано, и как я писал выше - после нескольких попыток подключение устанавливается и работает
Пожалуйста Войти , чтобы присоединиться к беседе.
Меньше
Больше
- Сообщений: 50
- Спасибо получено: 15
4 года 7 мес. назад #257
от PNV
PNV ответил в теме Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsoft NPS (RADIUS)
Что в логах RADIUS-сервера? Сервер нормально отвечает? Проверьте без аутентификации через RADIUS, также будет или нет.
Пожалуйста Войти , чтобы присоединиться к беседе.
4 года 7 мес. назад #258
от doc_fbi
doc_fbi ответил в теме Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsoft NPS (RADIUS)
да ISE отвечает, все нормально
пишет что отдает vlan
а вот приняла ли его точка , непонятно , так как а точке нет команды посмотреть в каком vlan мак
хотя с другой стороны , если бы подключению не прилетал бы vlan он бы попадал под натив и просто получал бы адрес в vlan где точки управляются
да есть сид без dinamic vlan - такая же петрушка
пишет что отдает vlan
а вот приняла ли его точка , непонятно , так как а точке нет команды посмотреть в каком vlan мак
хотя с другой стороны , если бы подключению не прилетал бы vlan он бы попадал под натив и просто получал бы адрес в vlan где точки управляются
да есть сид без dinamic vlan - такая же петрушка
Пожалуйста Войти , чтобы присоединиться к беседе.
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsoft NPS (RADIUS)